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(54) Tide: SMART CARD READER WITH MICROCONTROLLER AND SECURTTY COMPONENT 

(54) Titre: LECTEUR DE CARTE A PUCE AVEC MICROCONTROLEUR ET COMPOSANT DE SECURITE 

(57) Abstract 



The invention concerns smart card readers 
dedicated to a particular application and using 
both a microcontroller (MC) whereof the read-only 
memory determines the operation of the applica- 
tion, and a security component (CS) executing, un- 
der the microcontroller control, $ub-i)rogrammes 
related to the application security (authentication, 
confidential programmes and the like). In order that 
the Implication manager may access certain zones 
of the security component memoiy, it is provided 
that the microcontroller can automatically shift into 
a so-called **trBnspaient" mode, when a specific ac- 
cess code transmitted by the test card is recognised. 
In this mode, the reading or writing instmctions of 
a memoiy ixmt of the security component, trans- 
mitted by the test card, are interpreted by the micro- 
controller as being reading or writing in$tructi<xis 
of a memory zone of the security component and 
not of the microcontroller. The invention is appli- 
cable to portable readers. 

(57) Abr«g6 

L'invention conceme les lecteurs de carte & puce d6di£s k une application particuliire et utilisant it la fois un microcontrdleur 
(MC) dont la m6molre morte determine le d^roulement de Tapplication, et un composant dc s6curit6 (CS) ex6cutant. sous le contr61e du 
microcontrdleur, des sous-^irogrammes Ii6$ ft la stoirit6 de I'application (authentification, programmes confidentiels. etc.). Pour que le 
gesttonnaire de 1 '^plication puisse avoir aocfts A certaines zones de m^moire du composant de s£curit6, on prfivoit que le microcontrdleur 
pent passer automatiquement dans un mode dit "transparent", lois de la reconnaissance d'un code d'accte sp£cifique 6mis par une carte 
de test. Dans ce mode, les instructions de lecture ou 6criture d'une zone de mtfmoire, 6mises par la carte de test, sont imeTpr6t6es 
par le microcontrdleur comme 6tant des instructions de lecture ou Venture d'une zone de mdmdre du composant de s£curit6 et non du 
microcontrdleur. Application aux lecteuis portables. 
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LECTEUR DE CARTE A PUCE AVEC 
MXCROCOMTROLETTR ET COKFOSANT DE SECURITE 

L' invention concerne les lecteurs de carte Bl puce, 
et plus particulierement* les lecteurs dont le 
fonctionnement est securise par un composant de 
securite executant des programmes specifiques li6s a la 
5 s^ciirite d'une application. 

On connalt des lecteurs de cartes ^ puces qui sont 
dSdies a I'exfecution d'une application specif ique et 
qui doivent litre s6curis6s pour qu'il n'y ait pas de 
fraude lors de 1' execution de 1' application (notamment 

10 lorsque 1' application a des implications f inancieres) . 

Ces lecteurs comportent un microcontraieur pourvu 
d'une memo ire morte de programmes, pour executer un 
programme applicatif fige dans cette memoire. Et ils 
comportent en outre un composant de securite, distinct 

15 du microcontraieur, capable d' executer des programmes 
specifiques (li6s a la s6curit6 ou Sl des filaments 
confidentiels de 1' application) sous la commande du 
microcontraieur de telle maniSre que toute 
communication de donnees entre la carte a puce et le 

20 composant de securite passe obligatoirement par le 
microcontroleur . 

Le composant de securite est done en quelque sorte 
lui aussi un microcontraieur, avec ses mSmoires de 
programmes, mais il n'est pas relie directement k un 

25 connecteur d' entree du lecteur. II ne communique 
qu'avec le microcontroleur qui, lui, est relife au 
connecteur d' entree. Le microcontroleur peut done 
communiquer soit avec la carte a puce ins^ree dans le 
connecteur d' entree soit avec le composant de security, 

30 et, etant donne que 1' application est figee et se 
deroule des 1 ' introduction d'une carte a puce dans le 
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lecteur, c'est le microcontroleur qui agit comme maitre 
par rapport i la carte i puce et par rapport au 
ccmposant de sScurite. 

Pour illustrer le probldme que vise S r^soudre la 

5 prfisente invention, on peut donner I'exemple d'un 
lecteur de carte si puce dedie a une application 
particuliere placfee sous le controle d'un gestionnaire 
de 1' application, et c'est ce gestionnaire qui vend des 
cartes a puces . Seules les cartes emises par le 

0 prestataire sont autorisees. Le composant de securite a 
notzuament pour mission de dStecter, ^ I'aide 
d'algorithmes de chiffrement et dechif frement, que la 
carte placee dans le lecteur est une carte autorisee. 
Le microcontraieur du lecteur pilote le dSrouleraent de 

5 1' ensemble de 1' application; il transmet des 
instructions au composant de securite et controle la 
communication de donnees entre la carte et le composant 
de securite. 

L'utilisateur standard de 1' application n'a 
0 Svideminent pas accSs aux programmes et aux donnees des 
meaoires non volatiles du composant de s§curit6. Et le 
microcontr01e\ir programme par une roemoire morte 
constitue la barriere nScessaire pour que cet 
utilisateur ne puisse ni savoir ce qui se passe dans le 
15 composant de securite, ni le modifier. Par exemple, si 
le programme necessite que le composant de securite 
fournisse des donnSes ^ la carte, il les fournit en 
principe sous forme crypt§e. Et le programme de 
1' application, fig6 en m^moire morte ROM done non 
10 modifiable par un utilisateur, ne prevoit pas d'acces 
aux zones de m^moire non volatile du composant de 
securite. 

Mais le gestionnaire de 1' application peiit avoir 
besoin, pour des raisons de test, de diagnostic de 
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defauts, ou meme de n^cessite de Xegeres modifications 
dans les parametres de 1' application, de controler 
certains contenus de mfimoire du composant de sfecuritfe, 
ou de modifier ces contenus. 
5 Une solution serait de laisser en partie 

accessibles les bornes du composant de securite, par 
exemple pour qu'on puisse y acceder par 1' intermediaire 
de pointes de test apr^s ouverture du lecteur. Mais en 
pratique, pour des raisons de securite, on prefSre 
10 noyer completement dans une resine les broches d'accfes 
du composant de securite. 

On pourrait aussi envisager que la memoire morte de 
programme du microcontraieur contienne, outre le 
programme de 1' application Sl laquelle le lecteur est 
15 d§die, d'autres programmes d§clenches par des 
protocoles speciaux. Ces programmes seraient done 
presents par avance dans la memoire morte du 
microcontroleur et comprendraient a priori tous les 
programmes d'accds en lecture ou en 6criture que le 
20 gestionnaire de 1' application pourrait avoir besoin 
d'utiliser ulterieurement. C'est dif f icilement 
envisageable , et mSme dangereux si les donnSes seer fetes 
doivent Stre utilisees (code secret par exemple) . 

La presente invention a pour but de proposer un 
25 moyen pour que le gestionnaire de 1' application puisse 
acceder facilement, a des fins de test, de diagnostic, 
ou de modification, au composant de sScuritS, c'est-a- 
dire en pratique a certaines zones de m&noire de ce 
composant de securite, et ceci sans mettre en peril la 
30 security de 1' application. 

Pour cela, 1' invention propose un lecteur de carte 
a puce dont le microcontrdleur possede deux modes de 
fonctionnement qui sont un f onctionnement normal, a 
usage d'un utilisateur standard, pour I'execution du 
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programme applicatif fige auquel le lecteur est d^die, 
et un fonctionnement "transparent", dont I'utilisateur 
standard n'a pas 1' usage, dans lequel le 
aicrocontrdieur peut recevoir d'une carte & puce ou 
5 d'xine sonde simulant une carte a puce, des instructions 
d'acces qu'il interprSte non pas comiae des instructions 
d'accSs a ses propres m^moires, mais comme des 
instructions d'accds aux memoires du composant de 
securite . 

10 Plus precisement, 1' invention propose un lecteur de 

carte comportant un connecteur d' entree, un 
aicrocontrdieur, et un composant de s6curit§ executant 
des programmes sous la commande du microcontrSleur, le 
aicrocontrdieur possedant un mode de fonctionnement 
15 normal dans lequel il execute un programme contenu dans 
sa mSmoire morte, caracterise en ce que le 
aicrocontrdieur possede egalement un mode de 
fonctionnement dit "transparent", dans lequel il se 
place automatiquement a reception d'un code specifique 
20 sur le connecteur d' entree, et dans lequel il revolt du 
connecteur d' entree des instructions d'adressage de 
zones de memoire et il execute ces instructions en les 
interprStant comme etant des ordres d'acces Bl des zones 
de memoire du composant de s6curit6. 
25 Ainsi, bien que le composant de s6curite ne puisse 

pas etre en communication directe avec le connecteur 
d'entree, il devient possible d'acceder a des zones de 
memoire de ce composant : apres . passage dans le mode 
transparent, une adresse d'accds a une zone de memoire 
30 cesse d'etre interprfetSe comme une adresse de memoire 
du microcontrdleur et devient une adresse de m§moire du 
composant de security. Le microcontrdleur ex6cutera 
alors un sous-programme d'adressage du composant de 
securite. Inversement, dans le mode normal, une 
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instruction d'adressage de zone de memoire fournie par 
le connecteur d' entree est tou jours interpretee comme 
etant une instruction d'adressage d'une zone de mfemoire 
du laicrocontrdleur . 
5 En pratique, le mode de fonctionnement transparent 

comporte quatre instructions principales qui sent 
respect ivement : 

- mise sous tension du composant de securite; 

- lecture d'une donnee a une adresse de memoire; 
j_0 - ecriture d'une donnee a une adresse de memoire; 

- mise hors tension du composant de securite. 

Si le composant de securite possede une memoire non 
volatile Slectriquement programmable, notamment pour 
des raisons de personnalisation, il sera possible 

15 d'acceder a cette mimoire, pour le gestionnaire de 
I'application mais pas pour I'utilisateur standard, 
pour en changer les donnees. Le mode de fonctionnement 
transparent permettra done de modifier le contenu de 
zones qui ne sont pas modifiables par le programme 

20 execute en mode normal. 

D'autres caractSristiques et avantages de 
1' invention apparaitront Sl la lecture de la description 
d6taill§e qui suit et qui est faite en reference aux 
25 dessins annexes dans lesquels : 

- la figure 1 represente la configuration gen§rale 
d'un lecteur de carte a puce a microcontroleur et a 
composant de securite; 

- la figure 2 represente la constitution interne 

30 du microcontroleur; 

- la figure 3 represente la constitution interne 

du composant de securite; 
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- la figure 4 representc un tableau des sequences 
executees par le inicrocontrdleur et la carte de test 
pour aboutir au passage en mode transparent; 

- les figures 5^8 representent des diagrammes 

5 de sequences executees par le microcontrOleur , le 

composant de security et la carte (de test) lors de 
1' execution de chacune des instructions principales du 
mode transparent. 

IQ Le lecteur comporte un connecteur de carte a puce 

CN, un microcontrdleur MC et un composant de s6curit6 
CS. Selon 1' application auquel le lecteur est d6di6, il 
peut comprendre aussi une interface homme-machine , par 
exemple un clavier CL et un Scran SR, pour permettre a 

15 I'utilisateur d'entrer ou de lire des donnees si c'est 
necessaire pour 1' application. Le d^roulement de 
1' application sera en general declenchS s implement par 
1' introduction d'une carte a puce dans le lecteur. II 
peut y avoir plusieurs applications et une selection 

20 d'une application peut Stre effectufee par exemple par 
le clavier. Mais de toutes fa<?ons, il s'agit 
d' applications figSes dans une m§moire morte non 
modifiable. 

Le connecteur de carte CN constitue I 'entree du 
25 lecteur (en general une entree a six ou huit contacts, 

l'§change de donnees s'effectuant par une communication 

de type sSrie sur I'un des contacts) . 

Le microcontrdleur MC est reli6 au connecteur 

d' entree CN par un premier bus de liaison Bl; il est 
30 reliS au composant de sScurit6 CS par un deuxi&me bus 

de liaison B2. Il n'y a pas de liaison directe 

permettant le passage de donnees entre le composant de 

securite et le connecteur d' entree. 
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Le composant de securite est soud^ sur un circuit 
iapriae formant le coeur du lecteur, a I'intfirieur de 
ce dernier. Ses broches de connexion ne sont pas 
physiquement accessibles (en general meme pas par des 
5 pointes de test car les broches sont recouvertes d'une 
r6sine de protection) . 

Cette impossibilite d'acces au composant de 
securite est volontaire; pour 1' utilisation standard de 
la carte, seuls les acces prevus a I'avance dans le 
10 programme d' application fig6 du microcontroleur sont 
authorises et sont effectu§s par 1 ' intermSdiaire du 
microcontro leur , 

Le microcontroleur, dans ce type de lecteur d^die a 
une application bien precise, possSde de la mfimoire de 
15 programme de type ROM, c'est-a-dire une m§moire non 
modifiable (memoire morte) qui contient les sequences 
d' instruction permettant le deroulement de 
1' application. Le microcontroleur possede egalement de 
la memoire RAM permettant le stockage temporaire de 
20 donnSes volatiles- Ces memoires sont associfees a un 
microprocesseur MPl qui forme le coeur de 
I'intelligenqe du microcontroleur. Enfin il possfede des 
lignes d' entree/ sortie en nombre suffisant pour 
communiquer avec les composant de securite CS d'une 
25 part, avec le connecteur d' entree CN d' autre part, et 
evcntuellement avec le clavier CL et I'ecran SR. La 
figure 2 represente la structure du microcontrfileur. 

Le composant de sScuritfe a une structure similaire 
(figure 3) car il est en pratique const itu6 par un 
30 microcontraieur (c'est-a-dire un microprocesseur MP2 
pourvu de m&noires de programmes et de travail), mais, 
comme indiqu6 ci-dessus, il ne communique qu'avec le 
microcontroleur et non avec la carte a puce. II est 
capable d'ex^cuter des programmes places dans sa 
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mfemoire morte ROM. En outre, il possede de preference 
une partie de laemoire non volatile, inscriptible et 
ef f agable electriquement (m§moire EEPROM) . Dans cette 
memoire electriquement programmable, on peut placer des 
donnees de personnalisation des programmes executes par 
le composant de securite. On peut placer aussi des 
donnees representant des paramStres variables de ces 
progreunmes . 

Le composant de securite est capable de recevoir 
sur ses lignes d' entree des ordres et des donnees. II 
execute les ordres, enregistre en memoire les donnees, 
et renvoie sur ses lignes de sortie des r^sultats 
d' ordres qu'il a ex6cut6s, notamment des rSsultats de 
calcul secrets effectues par les programmes qu'il 
15 possede dans ses memoires non volatiles (ROM et 
EEPROM) . 

La carte a puce qu'on introduit dans le lecteur est 
capable de fournir des commandes et des donnees au 
microcontroleur, et plus generalement de communiquer 
20 avec le microcontroleur. Dans I'utilisation standard du 
lecteur, I'utilisateur possede une carte a puce qu'il 
introduit dans le lecteur pour lancer 1' application. 
Mais on peut §galement, pour la mise en oeuvre de 
1' invention, introduire dans le lecteur une sonde, 
c'est-a-dire une carte simulee, ayant les contacts 
requis pour communiquer avec les entrees du lecteur, 
mais reliee par ailleurs Bl un terminal d'ordinateur . 
Cette carte simulee permet une communication entre 
I'exterieur et le lecteur pour des operations de test 
ou de mise au point. Des cartes a puces de test non 
relives a un ordinateur, mais capables de commander le 
dferoulement de programmes de test et de recueillir des 
donnees de test, pourraient aussi Stre prSvues pour les 



25 



30 
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besoins du gestionnaire de 1' application (mais pas pour 
les utilisateurs standards du lecteur) . 

Le composant de securite CS et la carte a puce sont 
tous deux des periph§riques esclaves du microcontrdleur 
5 MC dans 1' application executes, en ce sens que c'est le 
microcontrdleur qui execute le programme de 
1' application, la carte a puce et le composant de 
s6curit6 executant des ordres lorsqu'ils sont 
sollicites par le microcontrdleur dans le deroulement 

10 du programme. La carte et le composant de securite 
re(?oivent done des commandes (lecture, ecriture, 
execution de programmes contenus dans la carte ou le 
composant de securite) , les executent, et renvoient les 
rSsultats d' execution au microcontrdleur. 

15 Le microcontrdleur est ' done maitre en ce qui 

concerne la communication avec une carte a puce 
standard et la communication avec le composant de 
securite. 

Les utilisateurs du lecteur, qu'on appellera 
20 utilisateurs standard, ne peuvent faire qu'une seule 
chose : lancer 1' execution du programme applicatif 
standard contenu dans la memo ire ROM du 
microcontrdleur . 

pour bien faire comprendre le fonctionnement des 
25 trois composants (carte a puce, microcontrdleur, 
composant de sdcurite) dans le deroulement de 
1' application standard, on se re£§re a nouveau a une 
application de jeu de hasard, avant de d^crire plus 
precis^ment 1 ' invention. 
30 L'utilisateur standard possSde une carte a puce qui 

a §t6 §mise par le gestionnaire de 1' application. Cette 
carte possede des 61§ments permettant de 
I'authentif ier, sous forme de donnSes enregistr^es en 
m§moire (donn§es pouvant Stre v^rifiees par le 
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composant de securite) et eventuellement sous forme de 
programes d' authentif ication qui, par comparaison avec 
des programmes contenus dans le composant de security, 
permettront une authentif ication de la carte par ce 
5 dernier , 

L'utilisateur introduit sa carte dans le lecteur. 
Selon la norme ISO 7816-3, le microcontroleur du 
lecteur dStecte 1 'introduction de la carte, la met 
alors sous tension, et lui envoie sa premiere commande 

10 "RESET" . 

La carte r ego it cette commande et envoie une 
"REPONSE AU RESET"; cette rSponse permet une 
reconnaissance du type de carte de maniere que la 
communication puisse Stre poursuivie selon un protocole 

15 determine . 

Les procedures d' authentif ication de la carte se 
d^oulent alors entre la carte et le composant de 
securite, sous le controle du microcontroleur qui reste 
maitre. 

20 Par exemple, le microcontrdleur met le composant de 

security sous tension, re<?oit sa r^ponse au reset, puis 
lui demande un nombre aleatoire, reqoit ce nombre et le 
retransmet a la carte. Celle-ci code ce nombre 
aleatoire a I'aide d'un programme de chiffrement 

25 qu'elle possfede. Elle renvoie au composant de securite, 
par I'interm^diaire du microcontrdleur, le nombre 
crypte, une donnee et une signature. Le composant de 
securite verifie 1 ' authenticity, notamment en vferifiant 
que la valeur cryptee est la bonne, en verifiant la 

30 concordance de la donn§e et de la signature, ou 
Eventuellement par d'autres moyens. 

Si 1' authenticity est acquise, I'utilisateur peut 
demander de transferer la donnee dans le composant de 
sfecurite. Si I'utilisateur doit entrer la donnee a 
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transferer, il faut bien sGr que le lecteur comporte 
des periph^riques (clavier, ecran) permettant de faire 
une selection; ces periph^riques sont g^res eux aussi 
par le microcontrdleur et son programme. 
5 Le composant de s6curit6 calcule la nouvelle donnee 

de la carte et une nouvelle signature de la carte. 
Donnee et signature sont cryptes et transmis au 
microcontrdleur qui les inscrit dans la carte a puce en 
vue d'un ^change futur. 
10 Des lors, I'application peut demarrer. 

L' application est executee par un programme contenu 
dans la memoire non volatile (ROM et EEPROM) du 
composant de security. 

Ce qui se passe dans le composant de security, et 
15 notamaent ce qui est contenu dans les mfemoires non 
volatiles du composant de s6curit6 reste parfaitement 
inconnu de I'utilisateur standard et non modifiable. II 
n'y a pas d'accds a volonte aux m^moires du composant 
de securite. 

20 Mais le gestionnaire de I'application peut au 

contraire souhaiter avoir acc^s a I'int^rieur du 
composant de security pour des operations de test, de 
diagnostic de dSfauts, ou meme de modification des 
donn^es de I'application, 
25 L' invention rfesout ce probleme en prevoyant le 

passage automatique du microcontroleur dans un mode de 
fonctionnement "transparent", different du mode de 
fonctionnement normal, lorsqu'une carte speciale (ou 
une sonde simulant une carte et relifie a un ordinateur) 
est introduite dans le lecteur. Ce passage en mode 
transparent n'est pas autoris6 pour les utilisateurs 
standards, et il r^sulte automat iquement de la 
reconnaissance d'un code sp6cifique k I'entree du 
lecteur lors de 1 ' introduction de la carte speciale. 



wo 99/06970 



PCT/FR98/016S9 



12 



En pratique, le passage dans le mode transparent se 
d^roule de la mani^re suivante : le gestionnaire de 
1' application, qui possdde la carte k puce spSciale ou 
la sonde comportant le code specif ique, peut 
5 I'introduire dans le connecteur du lecteur. L' insertion 
de cette carte ou sonde est detectee par le lecteur 
selon une procedure classique (un simple contact sert a 
la detection) . Cette detection provoque de la part du 
microcontroleur une mise sous tension de la carte avec 
10 commande de reinitialisation (RESET) . La commande de 
reinitialisation implique une reponse de la carte 
(Reponse au reset) . La r§ponse au reset comprend 
d'abord (selon la norme ISO 7816-3) des informations 
sur le protocole de communication qui sera utilise par 
15 la suite, puis un champ de donnees que la norme laisse 
libre. Un code specif ique, non connu des utilisateurs 
standards de la carte a puce est place par la carte 
sp^ciale dans ce champ. La reponse au reset de la carte 
speciale inclut done ce code specif ique. 

Le code specifique est reconnu par le 
microcontrdleur et dSclenche le passage en mode 
"transparent" . 

Dans le mode transparent, des commandes de lecture 
ou d'ecriture en memo ire, en provenance de 1' entree du 
lecteur, c'est-a-dire en provenance de la carte 
speciale ou la sonde, peuvent ^tre regues par le 
microcontrdleur. Ces ordres sont accompagn^s de 
I'adresse de memoir e qu'il faut lire ou 6crire. Mais le 
microcontrdleur interprSte alors ces adresses comme 
30 Stant des adresses de lecture ou d'fecriture dans une 
memoire du composant de s6curit§ et non comme une 
adresse de lecture ou d'^criture dans une memoire du 
microcontraieur comme il le ferait dans le mode de 
fonctionnement normal. 



20 



25 
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Le passage en mode transparent peut consister dans 
1' initialisation d'un bit d'etat ou drapeau dans un 
registre du microcontrdleur , ce drapeau restant dans un 
4tat par d^faut correspondant au mode normal tant que 
5 le code specif ique n'a pas 6t6 reconnu par le 
microcontrSleur et revenant dans cet etat par d^faut 
lors du retour au mode normal. Le ret our au mode normal 
est effectue par une instruction specif ique donnee a 
partir de la carte, ou a la suite d'un incident 
10 (retrait de la carte hors du lecteur, etc.)- 

Ce bit d'etat deroute a lors les commandes de 
lecture ou d'Scriture revues par le microcontraieur en 
provenance de la carte, et les aiguille vers des sous- 
programmes (en mSmoire morte du microcontrdleur) 
15 contenant simplement un ordre de lecture ou d'6criture 
adress^ au composant de sdcuritS. Les paramfetres 
affectes a cet ordre, c'est-a-dire I'adresse oQ il faut 
lire ou 6crire avec la donnee a 6crire, sont ceux qui 
sont regus de la carte a puce et ils sont transmis tels 
20 quels par le sous -programme. On comprendra que ces 
sous -programmes en m^moire morte du microcontrdleur ne 
comprennent que 1' instruction de lecture ou ^criture 
adress^e au composant de security, mais ne comprennent 
ni I'adresse a laquelle il faut lire ou ecrire ni la 
25 donnee a ecrire. L'adresse et les donn^es sont 
simplement transportees de la memoire de travail du 
microcontroleur vers le composant de security. C'est ce 
qui permet d' avoir un acces i n'importe quelle adresse 
de mSmoire du composant de securite sans encombrer la 
30 mSmoire morte du microcontrdleur de toutes les adresses 
auxquelles on peut vouloir lire ou 6crire dans le 
composant de sfecurit^ lors des programmes de test ou de 
mise au point. 
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En cas de lecture dans une zone de memoire du 
composant de securite, le composant de s6curit6 
transmet la donnee lue au raicrocontrdleur qui la 
retransnet a la carte a puce. 
5 Outre les comaandes de lecture et d'Scriture, le 

mode transparent peut comporter un petit nombre de 
commandes en provenance de la carte k puce, et 
notamment : 

- un ordre de mise sous tension du coiaposant de 
10 securite, entrainant une reponse au reset de ce dernier 

et une ecriture de la reponse dans la carte; 

- un ordre de mise hors tension du composant de 
security, entrainant fegalement le retour du 
microcontrSleur dans son mode normal; 

3^5 - Sventuellement un ordre bidirectionnel 

comprenant une ecriture de donnees et une lecture de 
donn^es dans le composant de securite. 

Un code d' instruction peut Stre affecte a chacune 
des commandes possibles; le code d' instruction 
20 correspondant h la lecture ou a l'6criture peut etre 
exactement le meme code qui servirait a la lecture ou a 
1' Ecriture en mode normal mais il se traduit par une 
execution diff4rente dans le mode transparent puisqu'il 
va alors consister en une lecture ou une Ecriture dans 
25 le composant de security et non dans les memoires du 
microcontroleur. 

D'une maniere generale, dans le mode de 
fonctionnement transparent, on peut prfivoir que le 
microcontrdleur reste maltre tout en executant des 
30 instructions fournies par la carte speciale, et ceci de 
la manidre suivante : c'est le microcontrdleur qui 
envoie systfematiquement a la carte, lorsqu'il a fini 
1' execution d'une sequence precedente, une commande de 
lecture de la carte. Autrement dit, il se met en 
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pennanence a I'ecoute d'une cpmmande possible en 
provenance de la carte. 

Pour rester compatible avec les protocoles de la 
norae ISO 7816-3, on peut pr^voir par exemple que dans 
5 le node de fonctiohnement transparent le 
microcontroleur envoi e systematiquement une commande de 
lecture de la carte; celle-ci renvoie d'abord la 
longueur de la commande qui va suivre; le 
microcontraieur envoie ensuite a la carte une deinande 
10 de resultat (le resultat est la commande proprement 
dite) . La carte envoie la commande et un mot d'etat. Le 
microcontraieur verifie le mot d'etat et execute la 
commande (c'est-a-dire qu'en pratique, dans le mode 
transparent, il la fait executer par le composant de 
15 security); puis il renvoie un resultat s'il y a lieu; 
la carte envoie un acquittement. Le microcontraieur 
peut renvoyer une commande de lecture. 

Les diagrammes des figures 4 a 8 resument les 
sequences executees par le microcontraieur, le 
20 composant de s§curit6, et la carte speciale pour 
diverses instructions ex6cut^es en mode transparent. 

Le diagramme de la figure 4 correspond aux 
sequences de passage en mode transparent; les 
sequences ex6cut6es sont les suivantes : 
25 - par le microcontroleur : detection de la presence 

d'une carte, mise sous .tension (reset) de la carte, 
attente de reponse au reset; 

- par la carte : rfeponse au reset avec code 
specif ique dans la reponse; 

30 - par le microcontraieur : analyse de la reponse au 

reset; reconnaissance du code specif ique; passage au 
mode transparent, avec dtablissement du drapeau de 
signalisation du mode transparent. 

- par le composant de securite : pas d' action. 
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La figure 5 correspond S une commande de mise sous 
tension du composant de s§curit6 : 

- par le microcontrdleur : envoi d'une commande de 
5 lecture a la carte; attente de la rSponse; 

- par la carte : reception; envoi de la longueur de 
la commande qui va suivre; 

- par le microcontrdleur : reception de la reponse 
de la carte; envoi d'une demande de resultat; attente 

10 de la reponse; 

- par la carte : reception du message; envoi d'une 
commande de mise sous tension du composant de s6curit6; 

- par le microcontrdleur : reception de la reponse 
de la carte; mise sous tension et reset du composant de 

15 s6curit6; attente de la reponse au reset; 

- par le composant de security : envoi de la 
reponse au reset; 

- par le microcontrSleur : reception de la reponse, 
envoi d'un ordre d'ecriture de la reponse dans la 

20 carte; attente d'un acquittement de la part de la 
csurte; 

- par la carte : execution de 1' ordre d'§criture; 
envoi de 1' acquittement. 

25 La figure 6 correspond a un envoi d' ordre sortant 

vers le composant de securite (lecture de donnees) : 

- par le microcontrdleur : envoi d'une commande de 
lecture a la carte; attente de la rSponse; 

- par la carte : reception; envoi de la longueur de 
30 la commande qui va suivre; 

- par le microcontraieur : reception de la reponse 
de la carte; envoi d'une demande de resultat; attente 
de la reponse; 
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- par la carte : reception du message; envoi d'une 
cominande de lecture, avec adresse de zone de m&moire du 
composant de s6curite; 

- par le microcontroleur : reception de la r^ponse 
5 de la carte; interpretation de la commande; envoi d'une 

conimande de lecture du composant de security, S 
1' adresse indiqufee par la carte; attente de la r^ponse 
du composant de security; 

- par ie composant de securite : reception du 
10 message, execution, envoi de la reponse; 

- par le microcontrdleur : reception de la reponse, 
envoi d'un ordre d'^criture de la rfeponse dans la 
carte; attente d'un acquittement de la part de la 
carte; 

15 - par la carte : reception du message; execution de 

1' ordre d'^criture; envoi de 1' acquittement. 

La figure 7 correspond a 1' envoi d'un ordre entrant 
(ecriture dans une memoire du composant de s6curit6) . 
20 Cet ordre est particulierement important pour 6crire 
dans une mSmoire non-volatile (EEPROM) du composant de 
s^curitS, par exemple pour modifier la personnalisation 
du lecteur ou pour modifier des parametres de 
1' application : 

25 - par le microcontroleur : envoi d'une commande de 

lectTire a la carte; attente de la reponse; 

- par la carte : reception; envoi de la longueur de 
la commande qui va suivre; 

- par le microcontrdleur : reception de la reponse 
30 de la carte; envoi d'une demande de resultat; attente 

de la reponse; 

- par la carte : reception du message; envoi d'une 
commande d' ecriture dans le composant de securite, avec 
adresse d' ecriture et donnee a ecrire; 
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- par le microcontroleur : reception de la reponse 
de la carte; interpretation de la commande; envoi d'une 
commande d'ecriture dans le composant de s6curit6, 
avec la donn6e indiquee par la carte et I'adresse 

5 indiqu6e par la carte; 

- par le composant de s^curitS : reception du 
message; execution de la commande d'ecriture; envoi 
d'un mot d'etat representant I'etat d' execution de la 
commande ; 

10 - par le microcontroleur : reception du message, 

envoi d'xin ordre d'ecriture du mot d'etat dans la 
carte; attente d'un acquittement de la part de la 
carte ; 

- par la carte : execution de 1' ordre d'ecriture; 
13 envoi de 1 ' acquittement . 

Pour un ordre bidirectionnel (6criture + lecture) 
le principe serait le meme. 

La figure 8 correspond ^ la mise hors tension du 
20 composant de security et a la sortie du mode 
transparent : 

- par le microcontroleur : envoi d'une commande de 
lecture a la carte; attente de la riponse; 

- par la carte : reception; envoi de la longueur de 
25 la commande qui va suivre; 

- par le microcontroleur : reception de la reponse 
de la carte; envoi d'une demande de resultat; attente 
de la reponse; 

- par la carte : reception du message; envoi d'une 
30 commande de mise hors tension du composant de sScxxritfe, 

avec un mot d'6tat de la carte; 

- par le microcontrdleur : reception de la reponse 
de la carte; verification du mot d'etat; mise hors 
tension du composant de security; retabl is semen t du 
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drapeau de mode transparent a sa valeur par d^faut 
correspondant au mode normal. 
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REVENDICATIONS 



1. Lecteur de carte h puce comportant un connecteur 
d' entree (CN) , un microcontroleur (MC) , et un composant 
de s^curit§ (CS) executant . des programmes sous la 
5 commande du microcontrdleur, le microcontrdleur 
possedant un mode de f onctionnement normal dans lequel 
il execute un programme contenu dans sa memoire morte, 
caracterise en ce que le microcontrdleur possdde 
^galement un mode de f onctionnement dit "transparent", 

10 dans lequel il se place automat iquement a reception 
d'un code spScifique sur le connecteur d' entree, et 
dans lequel il revolt du connecteur d'entrfee des 
instructions d'adressage de zones de memoire et il 
execute ces instructions en les interpretant comme 

15 §tant des ordres d'acces a des zones de memoire du 
composant de securite. 

2- Lecteur de carte selori la revendication 1, 
caract§ris§ en ce que le composant de s6curit§ ne peut 
20 communiquer avec le connecteur d' entree que par 
1' intermedia ire du microcontroleur et sous la commande 
de celui-ci. 

3. Lecteur de carte selon I'une des revendications 
25 1 et 2 , caracterise en ce que le lecteur est d§die a 
une application determinSe dont 1' execution est d§finie 
par le programme contenu dans la memoire morte du 
microcontrdleur, cette application ne comportant pas de 
possibilite d'acces k certaines zones de memoire du 
30 composant de securite. 
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4. Lecteur de carte selon I'une des revendications 
precedentes, caracterise en ce que le mode de 
fonctionneinent transparent comporte quatre instructions 
principales qui sont respect iveAent : 
5 - iflise sous tension du composant de s Neurit 6; 

- lecture d'une donnee a une adresse de mfemoire; 

- fecriture d'une donnee a une adresse de m&noire; 

- mise hors tension du composant de security. 



10 5. Lecteur de carte selon I'une des revendications 

precedentes, caracterise en ce que le composant de 
securite poss^de une memoire 61ectriquement 
programmable, et en ce que le mode de fonctionnement 
transparent permet I'accSs a cette mSmoire pour 

15 modifier le contenu de zones qui ne sont pas 
modifiables par le programme ex§cut6 en mode normal. 
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